Rsyslog7.4.7接收syslog数据并存放至不同目录文件

Rsyslog基础知识介绍

1、Rsyslog状态查看

Linux类服务器默认开启Rsyslog服务，可通过如下命令查看系统是否已开启Rsyslog服务

systemctl status rsyslog
#或者
ps -ef|grep syslog

2、Rsyslog配置文件路径

Linux类服务器Rsyslog服务默认配置文件路径为/etc/rsyslog.conf

Linux类服务器Rsyslog服务默认系统运行日志文件路径为/var/log/message，可通过该文件路径查看Rsyslog修改配置文件重启时是否有异常报错信息。

3、Rsyslog配置文件内置变量说明

%fromhost-ip% #发送syslog源服务器IP地址
%$YEAR%             #服务器当前时间年
%$MONTH%            #服务器当前时间月
%$DAY%              #服务器当前时间天
%$HOUR%         #服务器当前时间小时
%$MINUTE%       #服务器当前时间分钟

4、Rsyslog接收upd发送过来的syslog并保存至目录文件配置

编辑/etc/rsyslog.conf配置文件，找到如下配置内容，将注释符号去除，最终配置内容如下：

$ModLoad imudp
$UDPServerRun 514

添加日志模板，并进行逻辑判断，将符合条件的保存至对应目录文件中，最终配置内容如下：

rsyslog V7

$template firewall_ip,"/tmp/firewall/%fromhost-ip%/%$YEAR%_%$MONTH%_%$DAY%_%$HOUR%_%$MINUTE%.log"
if $fromhost-ip == "170.100.110.61" or $fromhost-ip == "170.100.110.62" then ?firewall_ip
& stop

rsyslog V5

$template firewall_ip,"/tmp/firewall/%fromhost-ip%/%$YEAR%_%$MONTH%_%$DAY%_%$HOUR%_%$MINUTE%.log"
:fromhost-ip,isequal, "170.100.110.61" ?firewall_ip
& ~

重启Rsyslog服务让配置文件生效

systemctl restart rsyslog